De NIS2-richtlijn heeft directe gevolgen voor zorginstellingen in Nederland. Organisaties in de gezondheidszorg die aan bepaalde drempelwaarden voldoen, zijn verplicht om hun digitale beveiliging structureel op orde te brengen, incidenten te melden en aantoonbaar risicobeheer te voeren. De richtlijn geldt breed: van ziekenhuizen tot kleinere zorgaanbieders die actief zijn in kritieke processen. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 in de zorg.
Welke zorginstellingen vallen onder de NIS2-richtlijn?
Zorginstellingen vallen onder de NIS2-richtlijn als ze actief zijn in de gezondheidszorgsector én voldoen aan de drempelwaarden voor middelgrote of grote organisaties. Dit betekent minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Ziekenhuizen, laboratoria, medische hulpmiddelenfabrikanten en bepaalde zorgaanbieders vallen in principe binnen de reikwijdte van de richtlijn.
De NIS2-richtlijn maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Ziekenhuizen en grotere zorgorganisaties worden doorgaans aangemerkt als essentiële entiteiten, wat betekent dat voor hen de strengste verplichtingen gelden. Kleinere zorginstellingen kunnen als belangrijke entiteiten worden geclassificeerd, met iets minder streng toezicht maar vergelijkbare inhoudelijke eisen.
Belangrijk om te weten: ook als jouw zorginstelling zelf net buiten de directe reikwijdte valt, kun je toch te maken krijgen met NIS2-eisen via ketenverantwoordelijkheid. Grotere zorgpartners of opdrachtgevers die wél onder de wet vallen, mogen beveiligingseisen stellen aan hun leveranciers en samenwerkingspartners.
Wat zijn de concrete verplichtingen voor zorginstellingen onder NIS2?
Zorginstellingen die onder de NIS2-richtlijn vallen, zijn verplicht om een risicoanalyse uit te voeren, passende technische en organisatorische beveiligingsmaatregelen te treffen, en significante cybersecurity-incidenten binnen 24 uur te melden bij de bevoegde toezichthouder. Daarnaast geldt een zorgplicht voor de beveiliging van de gehele keten.
De verplichtingen zijn concreet en omvatten onder andere:
- Risicoanalyse en beveiligingsbeleid: je brengt de digitale risico’s in kaart en stelt een beleid op om die risico’s te beheersen.
- Technische maatregelen: denk aan multifactorauthenticatie (MFA), encryptie van patiëntdata, patchbeheer en netwerksegmentatie.
- Incidentrespons: je hebt een plan klaar liggen voor als er iets misgaat, en je meldt ernstige incidenten binnen 24 uur.
- Continuïteitsplanning: je zorgt dat kritieke zorgprocessen ook bij een cyberaanval doorgang kunnen vinden.
- Bewustwording en training: medewerkers worden getraind op cybersecurity-risico’s en procedures.
- Ketenverantwoordelijkheid: je stelt eisen aan de beveiliging van leveranciers en andere partijen waarmee je digitaal samenwerkt.
Bestuurders spelen hierin een actieve rol. De NIS2-richtlijn legt verantwoordelijkheid expliciet bij het management neer: bestuurders moeten de beveiligingsmaatregelen goedkeuren en kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid.
Wat zijn de boetes en gevolgen bij niet-naleving van NIS2?
Bij niet-naleving van de NIS2-richtlijn riskeer je als zorginstelling boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor essentiële entiteiten, zoals ziekenhuizen, liggen de maximale boetes nog hoger: tot 10 miljoen euro of 2% van de omzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.
De financiële sancties zijn echter niet de enige consequentie. Toezichthouders kunnen ook:
- Verplichte audits en inspecties opleggen
- Aanwijzingen geven om specifieke maatregelen te treffen binnen een bepaalde termijn
- In ernstige gevallen tijdelijke beperkingen opleggen aan de bedrijfsvoering
Naast de juridische gevolgen is er ook reputatieschade. Een datalek of cyberaanval in de zorg raakt direct het vertrouwen van patiënten en samenwerkingspartners. In een sector waar vertrouwelijkheid en continuïteit van zorg centraal staan, kan dat vertrouwen moeilijk te herstellen zijn.
Hoe verschilt NIS2 van de AVG voor zorginstellingen?
NIS2 en de AVG vullen elkaar aan maar richten zich op verschillende aspecten. De AVG beschermt persoonsgegevens en regelt hoe organisaties met die gegevens omgaan. NIS2 richt zich op de digitale weerbaarheid van netwerken en informatiesystemen als geheel, ongeacht of er persoonsgegevens bij betrokken zijn. Voor zorginstellingen gelden beide wetten tegelijk.
Het grootste verschil zit in de focus:
- AVG: gericht op privacybescherming, rechtmatige verwerking van persoonsgegevens en rechten van betrokkenen. Geldt voor vrijwel alle organisaties die persoonsgegevens verwerken.
- NIS2: gericht op de technische en organisatorische weerbaarheid van systemen en netwerken. Geldt specifiek voor organisaties in aangewezen kritieke sectoren, zoals de gezondheidszorg.
In de praktijk overlappen ze op punten als incidentmelding en beveiligingsmaatregelen. Een datalek waarbij patiëntgegevens worden gestolen, moet mogelijk zowel bij de Autoriteit Persoonsgegevens (AVG) als bij de NIS2-toezichthouder worden gemeld. Het is dus belangrijk dat jouw compliance-aanpak beide wetten in samenhang behandelt.
Hoe bereid je een zorginstelling voor op NIS2-compliance?
Een zorginstelling bereidt zich voor op NIS2-compliance door te starten met een grondige risicoanalyse, gevolgd door het invoeren van technische beveiligingsmaatregelen, het opstellen van beleid en procedures, en het trainen van medewerkers. Een gefaseerde aanpak maakt het behapbaar zonder de dagelijkse zorgverlening te verstoren.
Een praktische voorbereiding verloopt in een aantal stappen:
- Bepaal of je onder NIS2 valt op basis van sectorclassificatie en organisatiegrootte.
- Voer een nulmeting uit om te zien waar je nu staat op het gebied van cybersecurity.
- Stel een risicoanalyse op en identificeer de grootste kwetsbaarheden in je systemen en processen.
- Implementeer technische maatregelen zoals MFA, monitoring en updates, encryptie en toegangsbeleid.
- Ontwikkel een incidentresponsplan zodat je weet wat je moet doen als er iets misgaat.
- Train je medewerkers op cybersecurity-bewustzijn en interne procedures.
- Beoordeel je leveranciers en stel eisen aan hun beveiligingsniveau.
Het is verstandig om ISO 27001-begeleiding te overwegen als structureel kader voor informatiebeveiliging. Dit raamwerk sluit goed aan op de NIS2-eisen en geeft je tegelijk een internationaal erkend certificaat waarmee je ook richting samenwerkingspartners aantoont dat beveiliging serieus wordt genomen.
Wanneer moet een zorginstelling NIS2-compliant zijn?
In Nederland wordt de NIS2-richtlijn vertaald naar de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Zorginstellingen die onder de wet vallen, moeten op dat moment aantoonbaar voldoen aan de gestelde eisen. Wachten tot de wet van kracht is, is geen verstandige strategie: de voorbereiding vraagt tijd.
De Europese NIS2-richtlijn had al in oktober 2024 door lidstaten omgezet moeten zijn in nationale wetgeving. Nederland loopt achter op dit schema, maar dat betekent niet dat er geen urgentie is. De verwachte inwerkingtreding in 2026 geeft zorginstellingen een beperkt tijdvenster om alles op orde te brengen, zeker als de organisatie nog geen stevige basis heeft op het gebied van cybersecurity.
Begin dus nu met de voorbereiding. Een risicoanalyse en nulmeting kosten tijd, en het doorvoeren van technische en organisatorische maatregelen gaat niet van de ene op de andere dag. Hoe eerder je start, hoe rustiger en gestructureerder je het traject kunt doorlopen.
Hoe IT Aanspreekpunt helpt met NIS2 in de zorg
Wij begrijpen dat NIS2-compliance voor zorginstellingen complex en tijdrovend kan zijn, zeker als de focus primair ligt op het verlenen van goede zorg. Daarom ontzorgen wij je volledig in het NIS2-traject, van de eerste nulmeting tot de daadwerkelijke implementatie van beveiligingsmaatregelen.
Wat wij voor jouw zorginstelling doen:
- Uitvoeren van een nulmeting en risicoanalyse specifiek gericht op NIS2-vereisten
- Implementeren van technische maatregelen zoals MFA, encryptie en toegangsbeleid via Microsoft 365 beveiliging
- Opzetten van monitoring, patchbeheer en een beveiligd bedrijfsnetwerk
- Ondersteuning bij het opstellen van incidentresponsplannen en beveiligingsbeleid
- Begeleiding richting ISO 27001 als aanvullend kader voor informatiebeveiliging
- Advies over ketenverantwoordelijkheid en leveranciersbeoordeling
Als Microsoft 365-specialist en SharePoint Online-expert beschikken wij over de kennis en tools om jouw digitale beveiliging snel en effectief op orde te brengen. Zo werk je niet alleen aan wettelijke naleving, maar versterk je tegelijk de betrouwbaarheid van jouw organisatie richting patiënten en partners. Neem vrijblijvend contact met ons op en ontdek wat wij voor jouw zorginstelling kunnen betekenen.